ISMS-P 인증제도 개선 목소리 높아져
정보보호 공시제도에도 관련 인력 감소

구재형 KT 네크워크기술본부장이 지난 11일 서울 종로구 KT 광화문빌딩 웨스트 사옥에서 열린 소액결제 피해 관련 기자 브리핑에서 보안조치 강화에 대해 발표하고 있다. 연합뉴스

SK텔레콤 유심(USIM) 정보 유출에 이어 KT에서도 소액 결제 피해가 발생하면서 통신사에 대한 ‘정보보호 규제’ 실효성 논란이 커지고 있다. SK텔레콤과 KT 등은 정부의 정보보호 인증과 공시를 충실히 이행하고 있다고 강조한 바 있다. 그러나 국내 통신 1위 SK텔레콤과 국가 기간 통신망을 관리하는 KT가 해킹을 당하면서 ‘제도 개선’ 필요성이 부각되는 모습이다.

국내 통신 3사는 정부가 부여하는 ‘정보보호 및 개인정보보호 관리체계(ISMS-P)’ 인증을 받았다. ISMS-P 인증은 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’에 따라 통신망의 안정성 확보와 개인정보 보호를 위해 회사가 수립한 조치와 활동이 인증기준에 적합함을 확인하는 제도다. 통신 3사는 개인정보보호위원회 소관인 ISMS-P 인증 이외에 과학기술정보통신부 소관으로 정보보호 중심의 ‘ISMS 인증’도 받았다.

그러나 이런 인증이 실제 현장에서는 제대로 작동하지 않았다는 지적이 나온다. 국회 과학기술정보방송통신위원회 소속 더불어민주당 이훈기 더불어민주당 의원은 이와 관련 “큰 비용과 시간을 들여 유지하는 ISMS·ISMS-P 인증이 정작 해킹을 막지 못하고 초동 대응에도 실패한 것은 제도가 형식에 그칠 경우 종이호랑이로 전락할 수 있다”고 비판하기도 했다.

국회 입법조사처도 ISMS 인증에 대해 “2014년 KT 해킹 사고 당시 KT가 인증을 받고도 해킹공격을 막지 못해 인증제도가 유명무실하다는 비판이 제기됐고 2023년 LG유플러스 해킹사고 당시에는 개인정보 유출에도 불구하고 해당기업의 인증이 취소되지 않고 유지되고 있는 것 대해 문제가 지적됐다”고 밝혔다.

정부가 기업의 정보보호 역량 강화를 위해 실시하고 있는 공시 제도 역시 실효성 논란이 일고 있다. 통신 3사는 ‘정보보호 공시 제도’의 의무 공시 대상 기업으로 매년 정보보호 투자 규모와 전담인력 수 등을 공개하고 있다. 정부는 정보보호 공시 제도가 의무화된 이후, 기업의 정보보호 수준을 투명하게 공개해 이용자의 신뢰도를 높였고 기업이 스스로 정보보호 역량을 강화하기 위해 투자를 확대했다고 강조해왔다. 그러나 KT와 LG유플러스는 2025년에 전년 대비 정보보호 인력이 줄어드는 등 정보 공개가 인력 확대로 이어지지 않았다는 지적이 나온다.

이 때문에 관련 규정을 개정해 정보보호 투자를 강제해야 한다는 주장이 나온다. 특히 관련 법을 개정해 정보보호 예산을 의무적으로 확보하도록 해야 한다는 주장이 제기된다. 정보통신망법을 개정해 정보보호 예산이 정보기술부문 예산의 일정비율 이상이 되도록 노력할 의무를 명시하는 방안을 고려해 볼 수 있다는 주장이다. 국회입법조사처는 “SK텔레콤 해킹 사고를 통해 자율보안의 한계가 드러난 점을 고려할 때, ‘전자금융감독규정’을 참고해 정보통신망법에 정보보호 예산의 최소 투자 비율을 명시한다면 이동통신사의 정보보호 투자 확대를 제도적으로 뒷받침할 수 있을 것”이라고 분석했다.

ISMS 인증에 대해서도 관리·감독 체계를 강화해야 한다는 주장이 나온다. 특히 통신 사업자에 대해선 강화된 인증 기준을 적용하고 인증 취득 기업의 중대한 위법행위로 인한 해킹 사고 발생 시 인증 취소 등 엄정한 제재가 이뤄질 수 있도록 해야 한다는 주장이 힘을 얻고 있다.

통신사들이 상품권 판매 등으로 사실상 금융업을 영위하고 있는 것도 규제 강화의 근거가 되고 있다. SK텔레콤은 정관에 전자지급결제대행업 등 전자금융업이 사업목적으로 명시돼 있다. KT 역시 자회사인 케이티알파의 기프티쇼가 전자금융업 라이센스를 취득했다. LG유플러스는 전자금융업이 사업목적으로 명시돼 있지만 현재 전자금융업을 하지 않고 있다고 공시한 바 있다.

김종우 기자 kjongwoo@busan.com